kaif.io open source
(/z/sysop)
13 則討論
IngramChen
張貼於
cookies 的安全性已經是千錘百鍊,很多洞都測出來了,但也是千瘡百孔。稍有不慎就中獎了。
token 放 header 實做的人少,破的人也少 (因為做法都有點不大一樣),所以理論上相對安全一點,但是網站大到有專人來破解,那也是很危險。
通常要真的安全 server 還是會有 session 供比對吧。
auth 看起來是放在 HandlerMethodArgumentResolver1 的時候,看起來比加 WebSecurityConfigurerAdapter 簡單多了(上個月也寫了一樣的東西,看網上範例就寫得複雜了些),如果 kaif 早點 open 也許我就會學習使用這樣簡便的設計 :)
這不是標準的作法啊。但是 spring security 的作法太麻煩了,所以 oauth integration 最後自己刻比較簡單。
用 HandlerMethodArgumentResolver
的話,每個需要處理 auth 的 handler method ,就一定要帶 ClientAppUserAccessToken
,忘記寫的話,就是漏洞了。(有些 method 不需要 user,然後就會忘了寫)
為了這個漏洞,有另外寫一個 unit test1 去掃所有 method,看有沒有漏掉這個 argument。
這個是 OAuth API 的部份, web 用的 ajax API 又作了另一套類似的... orz